# AN1533 — Analytic 1533 ## Descrição Este analítico observa o uso de comandos `blueutil` ou `networksetup` e APIs de baixo nível no macOS para alternar o estado Bluetooth ou iniciar transferências, especialmente quando correlacionado com atividade recente de leitura de arquivos de grande volume por processos sem interface gráfica. A telemetria provém do Endpoint Security Framework (ESF) e unified log do macOS que registram execuções de processo, acessos a APIs de IOKit e eventos de dispositivo Bluetooth. A detecção é relevante pois adversários em ambientes corporativos macOS podem explorar a interface Bluetooth como canal alternativo de exfiltração que não é monitorado pelos controles de rede tradicionais. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1011-001-exfiltration-over-bluetooth|T1011.001 — Exfiltration Over Bluetooth]] - [[t1011-exfiltration-over-other-network-medium|T1011 — Exfiltration Over Other Network Medium]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN1533](https://attack.mitre.org/detectionstrategies/DET0554#AN1533)*